Soweit ich weiß, haben die Methoden Platzhalter für Abfrageparameter ($wpdb->insert() , $wpdb->update() , $wpdb->delete() ) brauchen $wpdb->prepare() nicht Methode, und sie sind bereits sicher.
Aber die anderen - die haben keine Platzhalter, brauchen zusätzliches SQL-Escape.
